S/MIME-Zertifikate in cmxOrganize

Erstellt am: 13.8.2025 | Letzte Aktualisierung: 10.9.2025

In cmxOrganize ist es nun möglich, verschlüsselte Nachrichten zu versenden und empfangene Nachrichten zu verifizieren. So wird die E-Mail vor unbefugtem Zugriff geschützt und die Authentizität und Integrität der Nachricht gewährleistet. Der Absender wird verifiziert und die Nachricht auf Manipulationen überprüft.

Das System nutzt den S/MIME (Secure/Multipurpose Internet Mail Extensions) - Standard zur Verschlüsselung und digitalen Signierung von E-Mails. Um S/MIME nutzen zu können, benötigen sowohl Sender als auch Empfänger ein S/MIME-Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wird.

Weitere Informationen zum S/MIME-Standard sowie der Einbindung des Zertifikats in cmxOrganize finden Sie in den nachfolgenden Artikeln:

Grundlegende Informationen zu S/MIME-Zertifikate

Grundlegende Informationen zu S/MIME-Zertifikate

S/MIME ist ein Set von Standards, welche kryptografisch abgesicherte Kommunikation über E-Mails ermöglicht. Die Standards sind offen. Es wird keine Spezialsoftware benötigt. Damit ist abgesicherte Kommunikation mit jedem möglich, der S/MIME verwendet.

Die Basis von S/MIME bilden X.509-Zertifikate, die von vertrauenswürdigen Zertifizierungsstellen herausgegeben werden. Durch die Zertifizierung kann einem S/MIME-Zertifikat Vertrauen entgegen gebracht werden, worauf auch das Vertrauen in mit S/MIME abgesicherten E-Mails basiert.

S/MIME-Verschlüsselung wird üblicherweise zusammen mit einer S/MIME-Signatur eingesetzt. Dieses verschlüsselt die E-Mail, sodass diese nur von den Adressaten gelesen werden können. Ein Einsatz ohne S/MIME-Signatur ist zwar technisch möglich, wird aber von cmxOrganize nicht erlaubt.*

S/MIME-Signaturen sind eine kryptografische Unterschrift. Wird diese verwendet und gültig, ist folgendes für den Empfänger garantiert:
  • Die E-Mail stammt vom Besitzer des Absenderzertifikates, und die Absenderadresse ist korrekt.
  • Die E-Mail wurde auf dem Versandweg nicht durch Dritte verändert, und die E-Mail wurde 1:1 genauso zugestellt, wie der Absender sie abgeschickt hat. 
  • Zudem wird in der Regel das Zertifikat des Absenders mit übertragen, sodass der Empfänger dieses speichern kann. Das passiert in cmxOrganize automatisch.
Durch die S/MIME-Verschlüsselung ist garantiert, dass die E-Mail nur von den Eigentümern der Zertifikate entschlüsselt und gelesen werden kann.


* Wir haben uns dazu entschieden, da diese Betriebsart unsicher und deutlich weniger vertrauenswürdig ist, obwohl das Wort „Verschlüsselung“ dies suggeriert.

Woher bekommt man ein S/MIME-Zertifikat und was ist dabei zu beachten?

Woher bekommt man ein S/MIME-Zertifikat und was ist dabei zu beachten?

S/MIME-Zertifikate müssen von einer Zertifizierungsstelle für eine bestimmte E-Mailadresse erworben werden. Die Zertifizierungsstelle überprüft dann mindestens, ob Sie tatsächlich in der Kontrolle der E-Mailadresse sind. Üblicherweise müssen Sie dafür auf einen Link in einer auf die entsprechende E-Mailadresse zugesendeten E-Mail klicken.

Bei hochpreisigen Zertifikaten werden mehr Eigenschaften überprüft. So müssen z.B. Personalausweis oder Handelsregisterauszug vorgezeigt werden. Das verschafft der Zertifizierungsstelle die Sicherheit, dass nicht nur die Absenderadresse korrekt ist, sondern auch die Person bzw. Organisation mit dem Käufer übereinstimmt.

Das Zertifikat besteht aus einem öffentlichen Teil des kryptografischen Schlüssels und dem privaten Schlüssel. Beide Teile zusammen werden üblicherweise in einer passwortgeschützten pfx- oder p12-Datei gespeichert. Der private Schlüssel muss immer geheim gehalten werden. Er muss immer bei Ihnen und in der verwendeten Mailsoftware (cmxOrganize, Thunderbird, …) verbleiben. Den öffentlichen Schlüssel geben Sie an Ihre Kommunikationspartner weiter, damit diese Ihre Signaturen überprüfen, sowie verschlüsselte Mails von Ihnen entschlüsseln können.

Hinweis:
Die Verschlüsselungsstärke der E-Mail bleibt unabhängig des Zertifikatstyps immer gleich hoch. Wenn Sie keine erhöhten Anforderungen an das Vertrauen in ein Zertifikat haben, empfehlen wir den Kauf des günstigsten Zertifikates.

Es gibt Zertifizerungsstellen, denen ein grundlegendes Vertrauen entgegengebracht wird. Diese Stellen und deren Arbeitsweisen werden regelmäßig durch Organisationen wie Mozilla oder Google überprüft. Im Gegenzug dazu, wird den von diesen Stellen ausgestellten Zertifikaten standardmäßig vertraut. Vorteil: diese funktionieren "einfach", ohne zusätzlichen Aufwand.

Es gibt aber auch Zertifizierungsstellen, denen kein grundlegendes Vertrauen entgegengebracht wird. In diesem Fall müssen Anwender selbst die Stammzertifikate dieser Zertifizierungsstellen importieren und diesen vertrauen, damit die davon ausgestellten Zertifikate funktionieren. Das betrifft auch die Zertifikate des Bundes, des BAMF und der Agentur der Arbeit.

Einrichten eines S/MIME-Zertifikats in cmxOrganize

Einrichten eines S/MIME-Zertifikats in cmxOrganize

Import des eigenen S/MIME-Zertifikats

Um das eigene S/MIME Zertifikat zu importieren, öffnen Sie das Objekt "X.509-Zertifikate". Klicken Sie auf die Methode "X.509-Zertifikat erstellen". Dann ziehen Sie Ihre Zertifikatsdatei in das Feld "Datei hier hinein ziehen".

Nach dem Aktualisieren, klicken Sie in die Eigenschaft "Passphase" und geben das Passwort des Zertifikats ein.

Hinweis: 
Damit das Zertifikat verwendet werden kann, muss zusätzlich das E-Mailkonto für die E-Mailadresse angelegt werden, das im Zertifikat angegeben ist.

Import des Zertifikats eines Kommunikationspartners

In besonderen Fällen kann man über den oben genannten Weg auch Zertifikate von Kommunikationspartner importieren. Dies geschieht in cmxOrganize normalerweise automatisch, sobald einen signierte E-Mail vom System empfangen wird, da in dieser üblicherweise das Zertifikat enthalten ist. Je nach Organisation kann aber ein anderer Ablauf zum Zertifikatsaustausch vorgesehen sein.

Was passiert beim Senden einer E-Mail von einer zertifizierten E-Mailadresse?

Wird in einer Konversation eine Absenderadresse verwendet, für welche ein passendes Zertifikat importiert wurde, wird an die E-Mail automatisch eine digitale Signatur angehangen.


Hinweis:
Das Versenden der Signatur benötigt keine Voraussetzungen beim Gegenüber. 
Falls das Gegenüber nicht S/MIME-fähig ist, kommt die E-Mail trotzdem ganz normal an. 

Zusammen mit der Signatur erhält Ihr Kommunikationspartner Ihr Zertifikat. Falls dieser es nicht (automatisch) importieren kann, müssen Sie es ggf. gesondert als Anhang schicken. Falls Sie nicht vorab das Zertifikat Ihres Gegenübers importiert haben, ist die E-Mail unverschlüsselt.

ACHTUNG: Versenden Sie niemals den privaten Schlüssel!

Sonderfall: Export des eigenen Zertifikats ohne privaten Schlüssel

Wenn es notwendig ist, kann man das eigene Zertifikat ohne privaten Schlüssel und nur mit dem öffentlichen Teil aus CMX exportieren. Die Datei kann dann an Kommunikationspartner weitergegeben, in öffentliche Verzeichnisse oder in Behördenportale hochgeladen werden (bspw. Arbeitsamt oder BAMF).

Hierzu öffnet man das Objekt "X.509-Zertifikate" und klickt auf das eigene Zertifikat. Über die Methode "Zertifikat exportieren" im Header kann dieses exportiert und direkt gespeichert werden und steht somit zum Upload bereit.

Senden einer signierten und verschlüsselten E-Mail

Damit eine E-Mail verschlüsselt werden kann, muss in der Kommunikation die Signatur aktiviert sein (das heißt, Sie brauchen ein Zertifikat für Ihre Absender-E-Mailadresse).

Zudem muss für jeden Adressat ein Zertifkat für dessen genaue E-Mailadresse vorliegen (dieses wird automatisch ins System importiert, sowie Sie E-Mails mit digitalen Signaturen  vom Adressaten empfangen).

Wenn alle Voraussetzungen erfüllt ist, wird Ihnen die Verschlüsselung beim Schreiben der Mail angeboten oder automatisch aktiviert

Was passiert wenn man eine signierte E-Mail empfängt

Wird eine E-Mail mit einer entsprechenden Signatur vom System empfangen, enthält diese immer das dazugehörige öffentliche Zertifikat. Ist dies dem System noch unbekannt, wird es automatisch importiert und mit der E-Mailadresse des Absenders verknüpft. Ab diesem Zeitpunkt, kann das öffentliche Zertifikat dieser E-Mailadresse für folgende Zwecke genutzt werden:
  • eingehende E-Mailsignaturen überprüfen
  • ausgehende E-Mails verschlüsseln

Empfangen einer signierten (und ggf. bereits verschlüsselten E-Mail)

Verschlüsselte und signierte E-Mails werden beim Empfangen automatisch entschlüsselt und die Signaturen überprüft. Damit eine verschlüsselte Mail entschlüsselt werden kann, muss der private Schlüssel des Zertifikats, mit dem die Mail verschlüsselt wurde, bereits importiert sein.

Allgemeine Informationen zu S/MIME-Zertifikaten

Allgemeine Informationen zu S/MIME-Zertifikaten

  • Damit ein Zertifikat verwendet werden kann, muss 
    • dem Zertifikat vertraut werden.
    • dessen Gültigkeitsbeginn erreicht und das Gültigkeitsende noch nicht abgelaufen sein. 
    • die E-Mailadresse mit der Absenderadresse genau übereinstimmen (abgesehen von Groß- und Kleinschreibung).
  • Zertifikaten von öffentlich vertrauten Zertifikatsanbietern wird standardmäßig vertraut. Bei anderen Zertifikatsanbietern müssen Sie deren Root-Zertifikat importieren und diesem manuell vertrauen, indem Sie es auf verifiziert stellen. Dem Zertifikat des BAMF muss manuell vertraut werden.
  • Um ausgehende Mails zu signieren und eingehende verschlüsselte Mails entschlüsseln zu können, muss die importierte Zertifikatsdatei den privaten Schlüssel enthalten. In der Regel ist das bei .pfx und .p12 Dateien der Fall. Diese Dateien sind in der Regel auch passwortgeschützt.
  • Sobald ein passendes Zertifikat importiert ist, werden automatisch alle E-Mails mit der passenden Absenderadresse signiert. Dies wird über den automatisch erstellten Anhang ersichtlich.
  • Eine Signatur allein ist keine Verschlüsselung, d.h. bei einer signierten Nachricht werden weiterhin die Inhalte unverschlüsselt übertragen. Das heißt auch, dass eine Signatur immer gefahrlos verwendet werden kann, egal ob der Kommunikationspartner S/MIME unterstützt oder nicht.
  • Eingehende signierte E-Mails werden immer überprüft, und dazugehörige Zertifikate importiert. Ab dem Empfang einer signierten E-Mail ist verschlüsselte Kommunikation möglich (vorausgesetzt Sie besitzen ein gültiges Zertifikat)
  • Die "Klasse" des Zertifikats ist nicht relevant, man kann auch gut das günstigste Zertifikat verwenden, wenn die einzige Anforderung „E-Mails verschlüsseln“ ist. Die Verschlüsselung ist unabhängig vom Zertifikatstyp immer gleich stark.
  • Der Betreff, das Versanddatum und die Liste der Adressaten sind nicht durch S/MIME abgesichert.
  • E-Mailverschlüsselung ist nicht für den Massenmailversand (Kommunikation, Mailversand über Report/Sammelabrechnung) verfügbar.

Weiterführende Links rund um S/MIME-Zertifikate

Weiterführende Links rund um S/MIME-Zertifikate

Informationen des BAMF zur E-Mail-Verschlüsselung finden Sie hier.

Ausführliche Information der Bundesagentur für Arbeit finden Sie hier.

Generelle Informationen (von einem freiwilligen Dritten gepflegt), wo Zertifikate angeboten werden und welche Organisationen S/MIME benutzen: http://smime.io/

Aktueller Anbieter für öffentlich verifizierte S/MIME-Zertifikate des Deutschen Forschungsnetzwerks ist die HARICA (in englischer Sprache).
Weitere Informationen zu HARICA finden Sie hier.

Die Actalis S.p.A aus Italien bietet S/MIME-Zertiifkate, die das erste Jahr kostenlos sind. Das bietet sich insbesondere zum Testen an.